本文介紹如何使用二次認證以及在登入時綁定二次認證方式。
二次認證配置
IDaaS EIAM支援在使用密碼登入後,要求使用者進行二次認證,提高管理安全性,滿足合規要求。為了保障您的使用安全性,二次認證能力預設開啟。
開啟模式
IDaaS EIAM支援兩種二次認證開啟模式。
模式 | 使用情境 | 說明 |
智能模式(推薦) | 當系統檢測到以下高風險登入行為時,將自動觸發智能模式驗證以提升賬戶安全性:
| 開啟後,IDaaS EIAM會根據上下文自行判斷是否需要進行二次認證,在保障安全的基礎上,降低使用者使用複雜度。 |
常開模式 |
| 開啟後,使用者每次登入都需要進行二次認證。 |
二次認證方式
IDaaS EIAM支援多種二次認證方式,管理員可多選同時開啟。
方式 | 說明 |
OTP 動態口令 | 使用阿里雲APP或其它常用OTP APP(如Google身分識別驗證器),輸入6位動態口令以完成二次認證。 使用者可在IDaaS EIAM應用門戶的賬戶管理中綁定OTP。詳情請參考:使用者自服務。 管理員可協助使用者解除綁定OTP動態口令。詳情請參考:OTP-已綁定動態口令。 |
簡訊驗證碼 | 發送6位驗證碼簡訊到IDaaS EIAM賬戶手機號。若賬戶沒有手機號,則無法使用該方式。 簡訊暫不收費。 可前往簡訊模板菜單查看簡訊內容。 |
郵箱驗證碼 | 發送6位驗證碼郵件到IDaaS EIAM賬戶郵箱。若賬戶沒有郵箱,則無法使用該方式。 可前往郵件模板菜單查看郵件內容。 |
WebAuthn | 使用WebAuthn認證器當做二次認證因子,實現硬體級的安全、便捷認證。 更多請參考:進階:WebAuthn安全登入。 管理員可協助使用者註冊和刪除Webauthn認證器詳情請參考:WebAuthn-登入認證器。 |
若IDaaS EIAM賬戶無可用的二次認證方式,賬戶將無法通過二次認證。建議開啟登入時綁定二次認證,或確保所有IDaaS賬戶均能使用至少一種二次認證方式。
開啟後,所有IDaaS EIAM賬戶均可使用。使用者可在二次認證環節自行選擇使用方式。參考下圖:
登入時綁定二次認證
通過綁定二次認證方式,未綁定二次認證方式的賬戶在登入時如果滿足綁定條件,則可直接綁定二次認方式。
綁定條件
當賬戶滿足所有已開啟的綁定條件時,才可在登入時綁定二次認證方式。
方式 | 說明 |
賬戶無可用的二次認證方式 | 針對已啟用的二次認證方式,賬戶均未綁定時,則滿足該條件。例如開啟了簡訊驗證碼二次認證,但賬戶只綁定了郵箱,此時則滿足該條件。 |
賬戶無登入成功記錄 | 如果賬戶未曾成功登入過IDaaS EIAM,則滿足該條件。建議開啟該條件(或在存量賬戶完成綁定後開啟),以降低存量賬戶被盜用的風險。 |
賬戶建立至今小於 n 天 | 即新賬戶在一定時間內才可綁定。建議開啟該條件,以降低存量賬戶被盜用的風險。 |
可綁定的二次認證方式
當賬戶滿足綁定條件時,如果已啟用的二次認證方式同時也是可綁定的二次認證方式,則可被綁定。
例如,執行個體啟用了簡訊和郵件驗證碼作為二次認證方式,只啟用了簡訊驗證碼作為可綁定的二次認證方式。
如果賬戶未綁定手機號和郵箱,則在登入時可以綁定手機號,無法綁定郵箱。